The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Mozilla повышает вознаграждение за нахождение ошибок безопасности в 6 раз

17.07.2010 07:48

Ещё в 2004 году компания Mozilla запустила программу, согласно которой исследователи получали 500 американских долларов за нахождение ошибок в безопасности в её продуктах. С тех пор практически ничего не изменилось, за исключением одной важной вещи - доля Mozilla Firefox на рынке веб браузеров возросла практически на порядок, а многие организации с большим количеством сотрудников приняли Firefox в качестве корпоративного стандарта.

Понимая значимость высокой безопасности своих продуктов, организация приняла решение увеличить вознаграждение за нахождение ошибок, связанных с безопасностью, в шесть раз до $3000, однако жаждущим получить приз стоит учесть следующие правила:

  • Ошибка в безопасности должна являться оригинальным исследованием и не должна быть ранее известной.
  • Подобная ошибка должна приводить к возможности удалённой атаки на web-браузер.
  • Брешь в безопасности должна касаться последних официально поддерживаемых версий, а также бета версий и кандидатов в релизы следующих продуктов: Firefox, Thunderbird, мобильной версии Firefox, а также сервисов, которые могут скомпрометировать пользователей программного обеспечения Mozilla Corporation.
  • Ошибки в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.


  1. Главная ссылка к новости (http://blog.mozilla.com/securi...)
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27330-mozilla
Ключевые слова: mozilla, firefox, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, snizovtsev (?), 11:07, 17/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > Ошибка в безопасности, найденные или вызванные использованием сторонних продуктов не подпадают под действие этой акции.

    Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?

     
     
  • 2.2, solardiz (ok), 11:28, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Что подразумевается под "сторонним" продуктом? Если ошибка в каком-нибудь libsomething, который поставляется вместе с firefox, но имеет свой апстрим - это сторонний или нет?

    Вроде как нет: "Security bugs in or caused by additional 3rd-party software (e.g. plugins, extensions) are excluded from the Bug Bounty program." Если "поставляется вместе", то это не "additional", так что под это ограничение не подпадает. Думаю, здесь все в порядке.

     
  • 2.3, MidNighter (?), 11:56, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Логично что сторонний, чего Мозиле за чужую библиотеку деньги платить.
     

  • 1.4, sHaggY_caT (ok), 12:12, 17/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
     
     
  • 2.5, Garrymar (?), 12:42, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Как обычно, значимость цели диктует величину оплаты. Вероятно - не сравнимо.
     
  • 2.6, Анонимко (?), 12:43, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Первый же грамотный специалист (посетитель сайта), поймавший сплойт, вытащит его, исследует и получит 3000 :)
     
  • 2.7, filosofem (ok), 13:54, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    >Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?

    200-500 МРОТ плюс срок.

     
     
  • 3.8, sHaggY_caT (ok), 14:26, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Интересно, а сколько на криминальном рынке ботнетчиков стоит дырка для zero-day эсплойта? Сравнимо ли?
    >
    >200-500 МРОТ плюс срок.

    Вопрос не об этом :) Просто интересно, можно ли заинтересовать тех, кто чаще пишет код для владельцев ботов, вот таким вот легальным заработком?

    Или все-таки решить проблему "рублем" невозможно? Как думаете?


     
     
  • 4.9, FractalizeR (ok), 14:50, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Думаю, что на zero-day эксплойте можно заработать гораздо больше, чем $3000 если серьезно этим заниматься.
     
  • 4.10, pavlinux (ok), 16:23, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее? ;) )


     
     
  • 5.11, sHaggY_caT (ok), 17:04, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >Платют в кликах, примерно 6$ за 1000 ботов при DDoS. (узнать подробнее?
    >;) )

    Нет, праздное любопытство :) Порядок было узнать интересно, спасибо.

     
     
  • 6.12, pavlinux (ok), 17:13, 17/07/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Покупают примерно по 500$ за одноразовый DoS.
     

  • 1.13, Alen (??), 19:56, 17/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    наверно ibm проставив у себя фаер решила вложиться в безопасность :)
     
  • 1.14, User294 (ok), 04:45, 18/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Хе, гуглю переплюнули :).
     
  • 1.15, maks_s (?), 22:45, 18/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    видать лавры самого дырявого браузера руководству покоя таки не дают
     
     
  • 2.16, SkyRanger (??), 01:21, 19/07/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы дыр было меньше...
     
     
  • 3.20, maks_s (?), 18:43, 19/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >Вообще то наоборот. Это Некрософт месяцами дыры не закрывает. Мозилле выгодно чтобы
    >дыр было меньше...

    Всем выгодно (а МС в текущей ситуации тем более), но оперативно чинить получается не всегда, будь то что плохой МС, чт хороший Мозила Фундейшн.

     
  • 2.18, User294 (ok), 13:28, 19/07/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Авторы самого дырявого - ничего и никому не платят. И дыры чинят месяцами. А потому - процветает черный рынок. А какой стимул MS сообщать о багах то? Это в случае MS геморройно (а вы видели у MS нормальный багтрекер?) И чинят их черт знает сколько и вознаграждение не платят. Какой же дебил будет забесплатно так геморроиться с MS и IE?
     
     
  • 3.19, maks_s (?), 18:41, 19/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    соглашуть только с тем, что МС жмется на деньги
     
     
  • 4.21, sHaggY_caT (ok), 00:55, 20/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >соглашуть только с тем, что МС жмется на деньги

    Посмотрите тот же securityfocus: очень часто, при наличии _известных_ дырок, MS выпускает фиксы по своему "расписанию".

    При этом они имеют наглость говорить, что в ФФ  в каком-то месяце вышло больше фиксов на дырки, чем на IE :)

    Такая вот переформулированная правда :)

    1. А сколько дырок в closed_source IE так и не нашли?
    2. А сколько времени IE-юзеры _ждали_ планового выхода фиксов?

    MS молча умалчивает. Если часто врать, или недоговаривать, иногда обыватели начинают верить :)

     
  • 4.25, аноним (?), 02:17, 24/07/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    они не жмутся. просто у них денех мало, вот и экономят.
     

  • 1.17, Аноним (-), 06:06, 19/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Не только IBM но и другие конторы (  есть и российские ) по умолчанию ставят  Mozilla - есть и наш след и интерес.  
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру